Sie sind hier: Home » Fachartikel » Hintergrund

Spione wider Willen


Industriespionage nicht immer in böswilliger Absicht: Viele Informationen werden auch zufällig und unabsichtlich abgegriffen
Das Risiko einer ungewollten "Präsentation" vertraulicher Daten auf Papier durch die eigenen Mitarbeiter wird oftmals nicht gesehen


Autor Hans-Günter Börgmann
Autor Hans-Günter Börgmann Bild: Iron Mountain Deutschland

Von Hans-Günter Börgmann, Geschäftsführer von Iron Mountain Deutschland

(29.08.12) - "Industriespionage" ist ein hässliches Wort. Viele denken dabei an hochtechnische Apparate, Agenten in Trenchcoats oder organisiertes Verbrechen. Aber wer bringt dieses Wort mit dem ganz normalen Büroalltag in Verbindung? Wirtschafts- oder Industriespionage ist das unethisch oder kriminell motivierte Sammeln von Informationen über eine Organisation. Dagegen wehren sich heute viele Unternehmen vehement. Dabei kostet die Abwehr viel Geld. Fast 82 Milliarden Euro wurden dafür 2011 von Regierungen, Wirtschaft und privaten Anwendern investiert. Und in fünf Jahren soll sich diese Zahl bereits verdoppelt haben.

Dabei geschieht Industriespionage nicht immer in böswilliger Absicht. Viele Informationen werden auch zufällig und unabsichtlich abgegriffen. Doch weil Informationsmanagement im Unternehmen fast immer eine Aufgabe der IT-Abteilung ist, sind in der Spionageabwehr Geld und Aufmerksamkeit auf die IT-Systeme konzentriert. Viele Unternehmen ignorieren die Macht des Papiers und vor allem den Faktor Mensch. Das Risiko einer ungewollten "Präsentation" vertraulicher Daten auf Papier durch die eigenen Mitarbeiter wird oftmals nicht gesehen.

Eine kürzlich veröffentlichte Studie von Iron Mountain [1], einem weltweiten Anbieter für Informationsmanagement, zeigt: Viele Mitarbeiter machen sich ihre eigenen Regeln, wie mit vertraulichen oder sensiblen Daten ihrer Arbeitgeber umzugehen ist. Eigene Regeln werden immer dann aufgestellt, wenn das Unternehmen selbst keine hat oder sie nur unzureichend kommuniziert.

Traditionell beschäftigen sich Untersuchungen über Wirtschaftsspionage damit, wie und warum Mitarbeiter Informationen aus dem Unternehmen tragen. Die Experten von Securelist haben eine Liste verschiedener Insider-Profile aufgestellt, die Unternehmen helfen soll, Risiko-Mitarbeiter zu erkennen: Da gibt es unter anderem an erster Stelle den "sorglosen Typ" (Careless Insider), also den Mitarbeiter ohne Führungsverantwortung, der unabsichtlich zur Sicherheitslücke wird. Daneben definiert Securelist den "naiven Mitarbeiter”, der sich zum Beispiel durch einen fingierten Anruf eines "Marktforschungsinstituts" oder andere Social-Engineering-Tricks vertrauliche Daten entlocken lässt. Zu den Mitarbeitergruppen mit krimineller Absicht gehören der generell mit seinem Arbeitgeber unzufriedene "Saboteur" und der "unloyale Mitarbeiter" (Disloyal Insider), der ohnehin in Kürze das Unternehmen verlässt. Daneben identifiziert Securelist noch "Moonlighter" und "Maulwürfe", beides Mitarbeitergruppen, die zielgerichtet im Auftrag der Konkurrenz oder anderen Klienten arbeiten.

Aber wie soll mit Mitarbeitern umgegangen werden, die sensible Informationen nicht entwenden, sondern in das Unternehmen mitbringen? Gemäß der aktuellen Iron Mountain-Umfrage würde gut die Hälfte (53 Prozent) der Befragten diese Chance nutzen und mit dem aktuellen Arbeitgeber derartige Daten ihres ehemaligen Arbeitgebers teilen. Mehr noch: Viele Mitarbeiter sehen darin kein unehrenhaftes Verhalten. Die Deutschen zeigen hier mehr Skrupel: Nur 21 Prozent wären bereit, sensible Unternehmensdaten zu einem neuen Arbeitgeber mitzunehmen.

Wie sieht es mit der Loyalität von Mitarbeitern aus, falls diese Informationen über Wettbewerber erfahren, die auch für den eigenen Arbeitgeber nützlich sein könnten? Die Studie nahm Mitarbeiter aus vier europäischen Ländern unter die Lupe: Deutschland, Frankreich, UK und Spanien. Dabei zeigten sich deutliche Unterschiede im Verhalten. So waren etwa 69 Prozent der Franzosen bereit, die Chance auf den Abgriff vertraulicher Daten eines Wettbewerbes auch zu nutzen. In Spanien waren es 57 Prozent, in Großbritannien 50 Prozent und in Deutschland sogar nur 33 Prozent. Die deutschen Mitarbeiter sind auch am wenigsten dazu bereit, diese Daten an ihren Arbeitgeber weiterzugeben: Nur 32 Prozent würden dies tun, verglichen mit 51 Prozent in Großbritannien, 61 Prozent in Frankreich und 63 Prozent in Spanien.

Dabei zeigte die Studie, dass es einen direkten Zusammenhang zwischen der Loyalität der Mitarbeiter und dem Vorhandensein klarer Verhaltensregeln im Unternehmen gibt. Mehr als zwei Drittel der deutschen Mitarbeiter sagen, dass in ihrem Unternehmen vertrauliche Informationen auch als solche gekennzeichnet sind. Das Schlusslicht bildet hier der direkte Nachbar Frankreich mit nur 49 Prozent. Vier von fünf der befragten Deutschen sind sich der Verhaltensregeln in ihrem Unternehmen auch bewusst. In Frankreich und Spanien kennt jedoch fast jeder Zweite diese Regeln nicht.

Ein weiteres wichtiges Ergebnis: Maßnahmen, die den Abfluss sensibler oder vertraulicher Informationen aus dem Unternehmen verhindern, beeinflussen auch das Verhalten der Mitarbeiter, wenn es um die Informationen des Wettbewerbers geht.

Die Grenze zwischen ethischem und unethischem Verhalten bleibt jedoch unscharf. Neugier ist eine angeborene Eigenschaft des Menschen, die im besten Fall dessen Kreativität und Motivation fördert. Die Faszination, die Unternehmensgeheimnisse eines Wettbewerbers ausüben, manifestiert sich auch in der Loyalität gegenüber dem eigenen Unternehmen oder dem Interesse an der Branche. So ist es schwierig, bewusst wegzuschauen, wenn der Sitznachbar im Zug gerade die neuesten Zahlen des Wettbewerbers studiert. Oder wegzuhören beim Gespräch, das die Mitarbeiter des Konkurrenten führen, während sie auf ihren Kaffee warten. Für die meisten ist allerdings beim Einbruch in die Räume eines Mitbewerbers zur Erlangung vertraulicher Informationen sicher eine Grenze überschritten.

Zwischen diesen Extremen gibt es eine große Grauzone. Wie weit der Einzelne gehen will, sagt sein persönlicher Moralkodex. Unternehmensrichtlinien können den Mitarbeitern helfen, diese persönliche Grenze zu finden.

So gesehen sind die effektivsten Regeln für den Umgang mit Informationen nicht jene, die deren physische Ablage oder Weitergabe betreffen. Es sind auch nicht diejenigen, welche den Mitarbeitern sagen, wie Informationen am besten geschützt werden können. Vielmehr sind es jene Regeln, die die Mitarbeiter ermutigen, stolz auf das eigene Unternehmen zu sein und sich persönlich für den korrekten Umgang mit vertraulichen Daten verantwortlich zu fühlen.

[1] Iron Mountain and Opinion Matters, June 2012 – Befragt wurden 2.000 Büroangestellte in Deutschland, Spanien, UK und Frankreich. Die Umfrage ist nicht repräsentativ.
(Iron Mountain: ra)

Iron Mountain: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Digital Twin der Lieferkette

    Fällt das Wort Lieferkettensorgfaltspflichtengesetz (LkSG), schießt einem meist zeitgleich der Begriff Transparenz in den Kopf. Denn darum geht es doch, oder? Auch! Aber nur Transparenz über die eigene Lieferkette zu erhalten, bringt erstmal wenig. Der Trick ist, zeitgleich eine flexible, optimierte Lieferkette anzustreben - sowohl operativ als auch strategisch.

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen